Programma Bug Bounty

Ci impegniamo a proteggere la nostra comunità e abbiamo istituito un programma di sicurezza che consente agli utenti di segnalare problemi di sicurezza relativi al nostro sito web.

Se ritieni di aver trovato una vulnerabilità o un problema e desideri partecipare al nostro programma, ti preghiamo di fornirci una descrizione dettagliata del problema, compresi i passi che possiamo compiere per riprodurre il problema e/o un proof-of-concept.

Se invii una segnalazione, ti preghiamo di attendere un periodo di tempo ragionevole affinché il nostro team risponda alla tua segnalazione e risolva il problema. Apprezziamo molto i tuoi sforzi per proteggere la nostra comunità e potremmo ricompensare i partecipanti per il loro aiuto. Tutti i rapporti sono soggetti ai termini e alle condizioni del nostro programma indicati di seguito e ai Termini e condizioni del servizio disponibili sul sito web.



Ambito di applicazione

Siamo lieti di ricevere segnalazioni di eventuali problemi o vulnerabilità legate alla sicurezza riscontrate sul nostro sito web. Tuttavia, ti invitiamo a non ricorrere al phishing, allo spamming o ad altri metodi discutibili che potrebbero molestare i nostri utenti o compromettere i loro dati, generare un traffico significativo o causare interruzioni al nostro sito web. L’uso di strumenti di scansione automatica della sicurezza è consentito a condizione che non creino problemi.



Bounty

La ricompensa minima è di 100 dollari per le violazioni della sicurezza. La ricompensa dipende dalla gravità della violazione della sicurezza. I problemi che non hanno un impatto sulla sicurezza non sono eleggibili per una taglia, ma sono comunque ben accetti e saranno trattati come qualsiasi altra segnalazione.



Ammissibilità

- Devi essere il primo a segnalare la vulnerabilità.

- Non accedi ai dati di altri utenti e utilizzi solo i tuoi account creati.

- Non devi divulgare pubblicamente la vulnerabilità finché non l’avremo risolta.

- Dovrai fornire una prova di concetto funzionante che sfrutti la vulnerabilità.

- Il rapporto sulle vulnerabilità sarà criptato con PGP (vedi sotto per i dettagli; vedi: Contattaci).



Esclusione

Registrazione/deregistrazione CSRF

DDoS

Ingegneria sociale presso i clienti o i dipendenti di HOT Group AG

Self-XSS (si richiede la prova di come l’XSS possa essere utilizzato per attaccare un altro utente Algolia)

Inosservanza dei limiti tariffari

Report di strumenti e scansioni automatizzate

Vulnerabilità nell’invio di messaggi spam o non autorizzati

Bug in software di terze parti

Opzioni X-frame correlate

Relativo all’HSTS

DNSSEC

Intestazioni di sicurezza mancanti che non portano direttamente a una vulnerabilità

Attacchi fisici all’infrastruttura

Attacchi teorici

Rottura della fiducia SSL/TLS

Compromissione del browser/dispositivo (ad esempio condivisione di un computer, accesso fisico al dispositivo di un utente, ...)

Vulnerabilità che colpiscono solo gli utenti di browser e piattaforme obsolete o senza patch

Politiche di recupero della password e dell’account, ad esempio scadenza del link di reset o complessità della password.

Vulnerabilità senza risoluzione da parte nostra (HEIST, ...)

Record DNS obsoleti che puntano a un sistema che non appartiene a noi



Proprietà e incentivi

Qualsiasi segnalazione che ci invii diventa di nostra proprietà e non siamo obbligati a rispondere a nessuna segnalazione. Tuttavia, se rispondiamo a una segnalazione, possiamo, a nostra discrezione, fornirti un compenso monetario o non monetario per dimostrarti il nostro apprezzamento per il tuo aiuto. L’utente è responsabile di tutte le tasse e di tutte le spese, i costi o le commissioni associate alla sua partecipazione al Programma e a qualsiasi premio.



Esclusioni di garanzia

L’UTENTE RICONOSCE E ACCETTA ESPRESSAMENTE CHE: (1) LA SUA PARTECIPAZIONE AL PROGRAMMA E L’UTILIZZO DI QUALSIASI PREMIO SONO A SUO RISCHIO E PERICOLO. HOT GROUP AG DECLINA ESPRESSAMENTE TUTTE LE GARANZIE DI QUALSIASI TIPO, ESPRESSE O IMPLICITE, INCLUSE, A TITOLO ESEMPLIFICATIVO, LE GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ PER UNO SCOPO PARTICOLARE E NON VIOLAZIONE. HOT GROUP AG DECLINA SPECIFICAMENTE OGNI RESPONSABILITÀ PER QUALSIASI AZIONE DERIVANTE DALLA TUA PARTECIPAZIONE AL PROGRAMMA O DALL’USO DI QUALSIASI PREMIO.



Nota finale

Ti chiediamo di seguire i principi della divulgazione responsabile e di dare al nostro team di sviluppo un tempo ragionevole per rispondere e correggere il problema presentato prima di renderlo pubblico. Ti chiediamo di comunicare apertamente con noi in merito alla pubblicazione, in modo da essere d’accordo sul rapporto e sulla tempistica.



Grazie mille, apprezziamo molto il tuo impegno! Divertiti con l’hacking!